安全研究人员发现了一个未受保护的巨型数据库,里面很可能包含数千万至上亿个独特的美国社会安全号码(SSN),同时还包括对应的电子邮箱和密码。
虽然这个数据库看起来是从过去大约十年的多次独立数据泄露中汇总而成,但研究人员解释了为什么即使是非常陈旧的个人信息,至今仍然构成严重活威胁……
海量密码与社保号暴露
据Wired报道,这个数据库由网络安全公司UpGuard发现。数据库原始记录总数高达数十亿条,但其中包含大量重复数据,因此从抽样检查中很难准确判断真正唯一的记录数量。
原始数据总量包括大约30亿条邮箱+密码组合,以及约27亿条包含社会安全号码的记录。
不过,唯一记录数量很可能落在数千万到数亿之间。UpGuard联系了部分数据涉及的人员进行验证,结果显示大约四分之一的社会安全号码仍然是正确的。
数据横跨近十年
研究人员怀疑其中很大一部分数据可能来自2024年那次震惊业界的27亿条记录大规模泄露。当时有说法称,这次泄露可能包含美国、英国和加拿大每一个人的敏感个人信息。
而其他部分数据则明显更古老,他们判断数据年龄的方法颇为有趣。
通过分析数据趋势,包括密码中流行文化元素的出现频率,他们推断大量数据很可能来自2015年左右的美国。例如,使用One Direction、Fall Out Boy和Taylor Swift作为密码或密码组成部分的情况非常普遍。
再老的数据也依然致命
很多人看到这类“老数据”曝光会觉得无关紧要,毕竟不是新的泄露事件。但UpGuard研究总监Greg Pollock指出,即使是十年前的数据,现在仍然是活生生的威胁,原因主要有两点。
第一,有些信息永远不会变,例如社会安全号码。第二,验证结果显示,这些数据中的相当一部分至今尚未被黑客实际利用。这意味着很多潜在受害者根本不知道自己的信息已经外泄。通常只有当攻击者开始使用这些数据尝试登录账户时,受害人才会收到警报。
“每周都有新的‘看起来很吓人’的数据发现,但大多没什么新意。”Pollock说,“所以当我开始深入验证这个数据库的具体案例时,我其实很惊讶。在某些案例中,这些身份信息虽然已经暴露,但还没有被真正利用,他们目前仍然处于风险之中。”
